1. 首頁
  2. 問答
  3. 阻止從nodejs express返回pem文件

阻止從nodejs express返回pem文件

2016-04-19 69 views
0

我想阻止nodejs將我的祕密pem文件返回到世界。使用快速,我有阻止從nodejs express返回pem文件

app.use(express.static('html'), function (req, res, next) 
{ 
    var pathname = parseurl(req).pathname 
    if (pathname.indexOf('.pem') >= 0) 
    res.status(403).send('<h1>403 Forbidden</h1>') 
    else 
    next() 
});

但我仍然能夠從我的網站(這是我的安全問題)

來源

2016-04-19 user1709076

回答

1

我建議你將你的.pem下載.pem文件(及任何其他敏感文件)完全脫離節點/表達認爲可服務內容的任何路徑。

我擔心,即使你得到你的示例代碼的工作,你的pem容易受到當前或未來的節點/表達利用。

你不想要相當於保護你的祕密的鎖車門;-)

來源

2016-04-19 16:01:25 GojiraDeMonstah

+0

這是有道理的。所以如果我將.pem文件移動到一個目錄(在html目錄之外),我應該仍然可以在我的JavaScript中通過說var path_to_pem ='../mypem.pem'來訪問它。 – user1709076

+0

當你說你的JavaScript,你的意思是服務器端在節點或客戶端?我不認爲你想要任何客戶端能夠訪問敏感文件。但服務器端,是的,你可以把它放在你有RW訪問權限的任何目錄中。 – GojiraDeMonstah

+0

是的,所以我會創建一個/ api/push(這是公開...即時通訊仍在思考如何處理該問題)的終點,但.pem不在html提供的內容中 – user1709076

相關問題

 相關問題